Ви відкриваєте свою поштову скриньку та знаходите новий електронний лист від постачальника послуг, яким користуєтеся щодня. Це оновлення продукту із закликом до дії, який пропонує вам увійти в їхній сервіс — нічого підозрілого. Однак, через кілька хвилин приходить друге повідомлення: «Вибачте, ми надіслали неправильне посилання в попередньому електронному листі. Будь ласка, скористайтеся цим оновленим». На перший погляд, воно має той самий брендинг, тон та адресу електронної пошти. Це здається простою людською помилкою, доки ви не усвідомлюєте, що це насправді спроба клонування фішингу.
Отже, що таке клонування фішингу? Шахрайство починається, коли кіберзлочинці захоплюють обліковий запис електронної пошти легітимної організації. Вони використовують цей доступ, щоб знайти та клонувати фактичний електронний лист, який вам раніше був надісланий. У цьому випадку, додаючи текст, у якому стверджується, що в оригінальному листі відсутнє термінове вкладення, вони обманом змушують вас завантажити шкідливе програмне забезпечення замість отримання важливої інформації, яку ви очікували. Ця витончена фішингова атака використовує вашу існуючу професійну довіру, роблячи клонування фішингу небезпечним.
Що таке клонування фішингу?
По суті, клонування фішингу – це спеціалізована та дуже оманлива форма фішингової атаки. Це відбувається, коли кіберзлочинець бере легітимний електронний лист, який вже був доставлений – той, який ви, ймовірно, вже бачили та якому довіряєте – та створює майже ідеальну його копію. Потім хакер замінює оригінальні, безпечні посилання або вкладення шкідливими версіями, призначеними для викрадення ваших даних або зараження вашого пристрою.
Однак, клонування фішингу не завжди покладається на викрадання активних відповідей електронної пошти. Іноді атака здійснюється шляхом копіювання повідомлення, яке зазвичай надсилає відома бізнес-структура, така як банк або SaaS-провайдер, і надсилання цільовому одержувачу копії цього легітимного електронного листа. Сучасні атаки клонування фішингу особливо небезпечні тим, що ці репліки часто містять вкладення шкідливого програмного забезпечення, яке встановлює руткіти, програми-вимагачі або інше програмне забезпечення, призначене для крадіжки вашої конфіденційної інформації.
Крім того, штучний інтелект тепер дозволяє зловмисникам ідеально клонувати тон і стиль письма оригінального відправника. Результатом є клон фішингового електронного листа, який звучить точно як колега або перевірений бренд, що ефективно нейтралізує вашу внутрішню тривогу щодо підозрілих повідомлень. Розуміння того, що таке клон фішинг, означає усвідомлення того, що навіть виправлення реальної розмови або стандартного ділового сповіщення може бути розрахованою точкою відправлення для шахрайських схем клонування фішингу.
Як працює клонована фішингова атака
Успішна операція з клонування фішингу – це продуманий процес, який часто починається з витоку даних. Щоб запобігти атакам клонування фішингу, корисно побачити, як хакери проходять етапи фішингової атаки:
- Перехоплення. Процес починається, коли кіберзлочинці отримують доступ до легітимного облікового запису електронної пошти. Зазвичай це відбувається після того, як обліковий запис електронної пошти викрадено або поштову скриньку скомпрометовано через попередній витік даних. Цей доступ дозволяє зловмиснику знаходити справжні повідомлення та визначати, які повідомлення найефективніше клонувати.
- Створення репліки. Використовуючи перехоплену інформацію, хакер створює ідеальну копію електронного листа. Вони відтворюють кожну деталь, щоб забезпечити автентичний вигляд клонованого фішингового листа, включаючи корпоративний брендинг, макет та особливий підпис відправника.
- Підміна контенту. Зловмисник змінює контент, додаючи текст, який стверджує, що в оригінальному електронному листі відсутнє вкладення або він містить неправильне посилання. Вони замінюють легітимний файл «Invoice.pdf» на шкідливу версію, таку як «Invoice_Updated.exe», або замінюють безпечну URL-адресу шахрайською.
- Несподівані повторні надсилання або подальші повідомлення. Отримання несподіваного повторного надсилання або подальшого електронного листа для повідомлення, яке ви вже бачили, може свідчити про клонований фішинг. Ці спроби клонованого фішингу покладаються на те, що одержувач вважає повідомлення стандартним подальшим повідомленням або невинною людською помилкою, коли було виправлено лише посилання. Якщо ви не впевнені в легітимності повторного надсилання, перевірте це у відправника через окремий, надійний канал, перш ніж взаємодіяти з будь-якими посиланнями чи файлами.
Клонування фішингу проти spear-фішингу: у чому різниця?
Хоча обидва типи є цілеспрямованими фішинговими атаками, вони покладаються на різні психологічні тригери для успіху. Спіральний фішинг побудований на дослідженні та налаштуванні, тоді як клонований фішинг побудований на реплікації.
Точніше, під час фішингу зловмисник має зібрати особисту або професійну інформацію для створення унікального повідомлення. Натомість, клон фішингового електронного листа повністю покладається на довіру, яку ви вже встановили під час реальної попередньої взаємодії. Оскільки електронний лист виглядає як продовження легітимної розмови, ваш природний захист набагато нижчий.
|
Функція |
Фішинг з використанням копій |
Клонування фішингу |
| Походження | Виготовлено на замовлення на основі цільового дослідження. | Пряма копія справжнього, раніше доставленого електронного листа. |
| Фактор довіри | Побудовано на основі персоналізації та терміновості. | На основі попередньо існуючої, легітимної взаємодії. |
| Виконання | Зазвичай починається як нова, ретельно адаптована тема. | Часто відображається як виправлення або повторне надсилання існуючого повідомлення. |
| Основна мета | Щоб обдурити певну особу або невелику групу. | Зловживати усталеною довірою шляхом підміни контенту. |
Типові приклади клонованого фішингу
Виявлення фішингової атаки часто зводиться до розпізнавання кількох знайомих шаблонів перед натисканням на посилання чи файл. Ось деякі приклади клонування фішингу:
- Шахрайство зі зміненими рахунками-фактурами. Поширене у B2B та фрілансі, починається зі справжнього рахунку. Невдовзі після цього надходить клонований фішинговий електронний лист, у якому стверджується, що банківські реквізити неправильні або що знижка відсутня. Це основна тактика багатьох шахрайських схем із клонованим фішингом.
- Шахрайство з оновленим посиланням. Приклад фішингу-клону, спрямованого на користувачів SaaS, може стверджувати: «Ми оновили нашу Політику конфіденційності — будь ласка, підпишіть нову версію тут». Ці спроби фішингу-клону призводять до шахрайських порталів входу, призначених для збору облікових даних.
- Клон постачальника послуг. Вони імітують автоматизовані шаблони від таких брендів, як Amazon, FedEx або Microsoft. Оскільки ці бренди надсилають великі обсяги електронних листів, ці атаки-клони фішингу часто залишаються непоміченими та виглядають як стандартні оновлення доставки або сповіщення безпеки облікового запису.
Тривожні сигнали: як розпізнати клонований електронний лист
Навіть найпереконливіший клон фішингового електронного листа має недоліки. Оскільки ці атаки залежать від вашої поведінки на автопілоті, пошук технічних невідповідностей може зруйнувати чари фішингової атаки:
- Аналіз заголовка. Завжди перевіряйте поле «Відповісти» на відповідність полю «Від». Хоча ім’я, що відображається, може містити слово «ІТ-підтримка», фактична адреса для відповіді може бути рядком випадкових символів або непов’язаним особистим обліковим записом. Це поширений показник спроби клонування фішингу.
- Тест наведення курсора. Перш ніж натискати будь-яке посилання в підозрілому клонованому фішинговому електронному листі, наведіть на нього курсор. З’явиться невелике вікно з фактичною URL-адресою призначення. Якщо в тексті написано nordpass.com , але в попередньому перегляді відображається незнайомий сайт, це фішингова атака.
- Схожі домени. Зловмисники часто реєструють домени, візуально схожі на легітимні — тактика, відома як типосквотинг. Звертайте увагу на ледь помітні зміни, такі як nordpasss.com або nord-pass.com . Ці шахрайські схеми клонування фішингу покладаються на те, що ви надто поспішаєте, щоб помітити зайву літеру чи символ.
Вироблення звички перевіряти ці дані – один із найефективніших способів запобігти досягненню мети фішинговими атаками-клонами.
Як захистити свою особистість від клонованого фішингу
Щоб запобігти фішинговим атакам клонування, вам не потрібно бути технічним експертом. Впровадження кількох проактивних звичок та правильних інструментів безпеки може зупинити фішингову атаку до її початку:
- Використовуйте менеджер паролів. Надійний менеджер бізнес-паролів, такий як NordPass, життєво важливий для запобігання фішинговим атакам-клонам. Він зберігає ваші облікові дані для певних, перевірених URL-адрес. Якщо ви отримаєте електронний лист-клон фішингового типу, який перенаправляє вас на підроблений сайт, що виглядає ідентично справжньому, але має дещо іншу веб-адресу, NordPass не запропонує автоматично заповнити ваші дані. Таке мовчання є негайним червоним прапорцем того, що ви зіткнулися з фішинговою атакою. Придбати ліцензію NordPass можна у дистриб’ютора – компанії Ідеалсофт (Idealsoft).
- Увімкніть багатофакторну автентифікацію (MFA). Навіть якщо фішингові атаки клонів обманом змусять вас видати пароль, MFA діє як другий замок на дверях. Без тимчасового коду з вашого телефону або ключа безпеки викрадений пароль буде марним для зловмисника.
- Перевіряйте поза мережею. Якщо виправлений електронний лист здається підозрілим, особливо якщо він надходить від колеги або постачальника із запитом на зміну платіжних реквізитів, перевірте його через окремий, надійний канал. Надішліть їм запит у месенджер або швидко зателефонуйте, щоб підтвердити, що вони справді надіслали додаткове повідомлення. Найкращий спосіб боротьби з фішинговими шахрайствами, пов’язаними з клонуванням, – це приділити час перевірці.
Залишаючись пильними, ви можете бути впевнені, що навіть найпереконливіший клон фішингового електронного листа не зашкодить вашому цифровому життю, дозволяючи вам зосередитися на тому, що потрібно — на роботі, а не на сумнівах у вашій поштовій скриньці